في كثير من الأحيان، تكون الواجبات المهنية لمسؤول أمن المعلومات غامضة. قد يبدو الـCISO أحياناً مسؤولاً عن كل شيء. وفي الوقت نفسه، عندما يحتاج إلى ميزانية، لا يمكنك الحصول عليها لأن مجلس الإدارة هو الذي يقرر في الواقع. ما يثير هذا النقاش هو القضايا القضائية ضد مسؤولي أمن المعلومات والتي تهدد بالسجن والعقوبات القاسية. من هذه القضايا، تلك المرتبطة بمسؤول أمن المعلومات السابق في Uber. تدق هذه القضايا جرس إنذار لمسؤولي أمن المعلومات. إنها تدفعهم للبحث عن كيفية تقليل المخاطر. وتشمل تلك المخاطر ما هو متعلق بالمؤسسة أو المسؤولية الشخصية (personal liability) التي تحملهم تبعات قراراتهم. كما يبدو، فإنه لايتم الاكتفاء بطرد مسؤول أمن المعلومات عندما تقع خروقات كبيرة. لكنه يوضع أيضاً تحت المحاسبة القانونية مما يحمله عواقب قد تغير حياتهم للأبد.
مخاطر المسؤولية الشخصية
أصبحت منظمات الأعمال معرضة لمخاطر الأمن السيبراني أكثر من أي وقت مضى. نتج ذلك عن زيادة عدد المهاجمين و ونوعية هجماتهم يوماً بعد يوم. وفي الوقت نفسه، زادت التقنيات الجديدة، مثل الذكاء الاصطناعي من تعقيد البنى التحتية الرقمية ونقاط الضعف الأمنية القابلة للاستغلال. و لتعزيز المحاسبة و رفعها لمستوى تلك المخاطر ، وضع المشرعون المسؤولية القانونية عن خروقات البيانات على عاتق CISO. بالنسبة لهم، هو الشخص المسؤول أمام الرأي العام عن الكشف عن حوادث الأمن السيبراني.
لكن حتى لو أصبحت العديد من المنظمات ملزمة الأن بالإفصاح عن تلك الحوادث في الوقت المناسب إلا أن عدداً محدوداً من تلك الحوادث يؤثر على الناس بشكل أكبر ويدفع بالتالي إلى التدقيق فيها بشكل أكبر، وخصوصاً مع تصدر هذه الحوادث عناوين الأخبار، ومطالبة العملاء بالتغيير وتحسين الموقف الأمني و جودة الخدمات. ومن المؤسف تحول مدراء أمن المعلومات إلى ضحية عبر تحميلهم مسؤولية أي إخفاقات و اختراقات أمنية، بينما كان الأجدى أن يتم تقاسمها مع المديرين التنفيذيين وأعضاء مجلس الإدارة.
وعلى الجانب الآخر، يتخذ قادة أمن المعلومات خطوات لتخفيف خطر المسؤولية الشخصية عبر تعزيز المرونة السيبرانية لمؤسساتهم. والتأكد أن فريقهم لديه الموارد والمهارات والمعرفة لامتلاك رؤية كافية للأصول المعلوماتية وتكوين الدفاعات بشكل صحيح لحماية البيانات والتطبيقات المهمة للأعمال باستخدام استراتيجيات قوية للنسخ احتياطي واختبارات الاسترداد. كما يسعى الـ CISO لفرض سياسات أمنية قوية لأشياء مثل كلمات المرور ومبدأ الحد الأدنى من الامتيازات وضبط الوصول عن بُعد و حوكمة استخدام الأجهزة الشخصية في الأعمال. وإضافة لما سبق، يدير الـ CISO برامج التوعية الأمنية والتدريب في مؤسساتهم.
أدوات قادة أمن المعلومات
يمثل الذكاء الاصطناعي سيفاً ذو حدين، يستخدمه مجرمو الانترنت لتحسين تكتيكاتهم كما يوظف قادة أمن المعلومات تلك التقنية لتحسين فعالية المرونة السيبرانية للبقاء في صدارة السباق مع مع الجهات الضارة و لتجنب خطر تحمل المسؤولية الشخصية عن أي خرق بيانات ناجح، الأن أو في المستقبل. ولتقليل فرصة تلك الخروقات، يناقش الـ CISO الموقف الأمني مع القادة التنفيذيين الآخرين وأعضاء مجلس الإدارة. من المهم أن يكون ذلك النقاش شفافاً ويشمل حتى تلك القضايا الناشئة التي تقع عادة خارج اختصاص الـ CISO ، أو لا تملك مؤسسته الموارد الكافية للتعامل معها. من الأفضل لقادة أمن المعلومات أن يعلموا إداراتهم عن أي حدث جدي وفي الوقت المناسب.
وكذلك، يسمح التأمين بمنح بعض الحماية لمسؤول أمن المعلومات، لكن فعالية بوليصة التأمين في عالم الأمن السيبراني ليست مؤكدة بنسبة 100٪. تغطي البوليصة عادةً الرسوم القانونية والأضرار الناتجة عن الدعاوى القضائية ضد المديرين التنفيذيين عن القرارات المتخذة بصفتهم المهنية، لكن هذه البوليصة قد تكون قاصرة عن تغطية المساءلة الشخصية عن إخفاقات الأمن السيبراني التي يواجهها الـ CISO. لذلك، قد تحتاج شركات التأمين إلى تعديل سياساتها لمعالجة المخاطر المحددة التي يواجهها أولئك المسؤولين. لكن من المهم الانتباه أن هذه التغطية التأمينية الأكثر فعالية وتفصيلاً، ستكون تكلفتها أعلى وستتطلب أقساطاً أعلى، أو لن تكون كافية فعلاً لتغطية المخاطر بشكل معقول.
المسؤولية الشخصية والشفافية
تحتاج المنظمات إلى تطوير ثقافة الشفافية. إذا كان مسؤول أمن المعلومات يخشى مشاركة الحقائق مع الإدارة التنفيذية، فسيزيد ذلك احتمالية اعتباره مسؤولاً عن الحوادث السيبرانية. لكن الإدارة المستنيرة تركز على التحسين ولا تنكر السلبيات وتسعى لضمان أن الجميع على دراية بالمخاطر والثغرات المحتملة. كما تزود فريق أمن المعلومات بالموارد اللازمة لأداء عمله كالدعم المالي والسلطة والتفويض لتنفيذ تدابير أمنية حاسمة إذا اقتضى الأمر. لكن إذا تم تجاوز توصيات أمن المعلومات باستمرار أو تجاهلها من قبل الموظفين، فإن جهود مسؤول أمن المعلومات تصبح عقيمة.
كلمة أخيرة
لتجنب خروقات الأمن السيبراني والمخاطر الناتجة عن المسؤولية الشخصية فمن المهم لمسؤولي أمن المعلومات امتلاك مهارات الاتصال والشفافية و التفاوض على الموارد التي يحتاجوها لتنفيذ استراتيجيات المرونة السيبرانية التي ستحمي مؤسساتهم عبر تطبيق أفضل ممارسات الأمن السيبراني.
